ChatGPhish-Schwachstelle in ChatGPT
Cybersicherheitsforscher haben eine Schwachstelle in OpenAIs ChatGPT entdeckt, die das Vertrauen der Plattform in Markdown-Links und -Bilder ausnutzt. Dies ermöglicht sofortige Schadsoftware-Einschleusungen und schafft neue Phishing-Möglichkeiten. Die als ChatGPhish bezeichnete Technik demonstriert, wie KI-gestützte Zusammenfassungen manipuliert werden können, um Schadsoftware direkt über eine vertrauenswürdige Schnittstelle zu verbreiten.
Das Problem liegt in der Art und Weise, wie der Antwort-Renderer von ChatGPT Markdown-Elemente von externen Webseiten verarbeitet. Wenn der Chatbot externe Inhalte zusammenfasst, vertraut er automatisch eingebetteten Markdown-Links und Bild-URLs, lädt externe Bilder und zeigt die Links als aktive, anklickbare Elemente in der Benutzeroberfläche des Assistenten an.
Inhaltsverzeichnis
Die Mechanismen hinter dem Angriff
Ein Angreifer kann eine kleine Schadsoftware in eine Webseite einbetten, die später von ChatGPT zusammengefasst wird. Während des Rendering-Prozesses können vom Angreifer kontrollierte Bilder automatisch abgerufen werden, wodurch möglicherweise Informationen wie die IP-Adresse, der User-Agent und die Referrer-Details des Opfers offengelegt werden.
Neben dem Informationsleck ermöglicht die Schwachstelle die Präsentation schädlicher Inhalte auf äußerst überzeugende Weise. Angreifer können Phishing-Links direkt in ChatGPT-Antworten einbetten, gefälschte Sicherheitswarnungen im Systemstil anzeigen und QR-Codes präsentieren, die auf von ihnen kontrollierter Infrastruktur gehostet werden. Diese QR-Codes können Nutzer dazu verleiten, sie mit Mobilgeräten zu scannen und so Desktop-basierte URL-Filter und Unternehmenssicherheitskontrollen zu umgehen.
Die besondere Bedeutung von ChatGPhish liegt nicht in der Eingabeaufforderung selbst, sondern darin, dass das KI-System eingebettete Anweisungen präzise befolgt und den resultierenden Inhalt als Teil einer vertrauenswürdigen Zusammenfassung präsentiert. Eine scheinbar gewöhnliche Webseite kann somit Phishing-Links, gefälschte Kontowarnungen, Remote-Bilder und schädliche QR-Codes direkt in der Antwort eines KI-Assistenten generieren.
Die wachsende Bedrohungsfläche des KI-gestützten Surfens
Die Entdeckung verdeutlicht eine umfassendere Sicherheitsherausforderung: Zusammenfassungen haben sich als neue Angriffsfläche für Angreifer herausgestellt. Bereits im März 2026 demonstrierten Forscher, dass speziell präparierte E-Mails Microsoft Copilot durch Cross-Prompt-Injection (XPIA) manipulieren und so KI-generierte Zusammenfassungen mithilfe versteckter Anweisungen beeinflussen können.
Da Unternehmen zunehmend auf KI-Tools für Recherche und Inhaltsanalyse setzen, kann jede von einem KI-Assistenten verarbeitete schädliche Webseite Anweisungen des Angreifers in den Kontext des Modells einschleusen. Dies stellt eine grundlegende Veränderung der Phishing-Taktiken dar. Anstatt Nutzer zum Öffnen verdächtiger Anhänge oder zur Interaktion mit schädlichen E-Mails zu zwingen, können Angreifer nun routinemäßige Browseraktivitäten und KI-gestützte Zusammenfassungsprozesse ausnutzen.
Die Verlagerung von Angriffen von E-Mail-Umgebungen hin zu browserbasierten KI-Interaktionen vergrößert die Angriffsfläche erheblich. Schon die einfache Anforderung einer Webseitenzusammenfassung kann ausreichen, um Nutzer schädlichen Inhalten auszusetzen, die durch indirekte Prompt-Injection-Techniken erzeugt werden.
Eine wachsende Welle von KI-Sicherheitsumgehungstechniken
Die Veröffentlichung von ChatGPhish erfolgt inmitten einer Welle von Forschungsergebnissen, die neue Angriffsmethoden auf Systeme künstlicher Intelligenz aufdecken. Zu den jüngsten Erkenntnissen gehören:
- Die Jailbreak-Technik „Involuntary In-Context Learning“ (IICL), die Konflikte zwischen kontextbezogenem Lernen und Sicherheitsausrichtung ausnutzt, um die Beschränkungen von GPT-5.4 zu umgehen; Strategien für mehrrundige Konversationen, die schrittweise die Schutzmechanismen großer Sprachmodelle umgehen; Angriffe durch typografische Eingabeaufforderungen, die Anweisungen in visuell verzerrten Bildern verstecken; Angriffe mit Neural Exec in Kombination mit Techniken zur Überschreibung der Rechts-nach-links-Schreibweise von Unicode, um die Schutzmechanismen von Apple Intelligence zu umgehen; und WebPromptTrap, eine indirekte Eingabeaufforderungs-Schwachstelle in BrowserOS, die Benutzer durch KI-generierte Zusammenfassungen scheinbar legitimer Inhalte manipulierte.
- Sicherheitslücken in KI-Ökosystemen und Agenten-Frameworks, darunter eine Schwachstelle im Anthropic Claude-Code, die das Abfangen von OAuth-basierten MCP-Kommunikationen über ein manipuliertes npm-Paket ermöglichte; ein Missbrauchsszenario für Remote-Update-Mechanismen, das auf OpenClaw-Skills abzielte; Phishing-Kampagnen mit verstecktem Text, die KI-gestützte E-Mail-Sicherheitsprodukte täuschen sollten; die ClaudeBleed-Schwachstelle, die es Browser-Erweiterungen ermöglichte, unautorisierte Befehle an Claude zu senden; kritische Schwachstellen im Microsoft Semantic Kernel (CVE-2026-25592 und CVE-2026-26030), die die Eskalation von Prompt-Injections zur Remote-Codeausführung auf Host-Ebene ermöglichten; weit verbreitete Sicherheitslücken in den Agenten-Repositories von ClawHub und skills.sh; und Angriffe auf den NemoClaw-Referenzstack von NVIDIA, die die Exfiltration von OpenClaw-Daten über bösartige GitHub-Repositories und npm-Pakete ermöglichten.
Die Zukunft KI-gesteuerter Cyberbedrohungen
Mit der Weiterentwicklung fortschrittlicher KI-Modelle experimentieren Cyberkriminelle zunehmend mit deren Angriffsfähigkeiten. Angreifer nutzen große Sprachmodelle, um anpassungsfähigere Schadsoftware zu entwickeln, die ihr Verhalten verändern kann, um Erkennungsmechanismen zu umgehen.
Darüber hinaus werden KI-Systeme in die Entscheidungsprozesse von Schadsoftware integriert. Diese Fähigkeiten ermöglichen es Schadsoftware, kompromittierte Umgebungen zu analysieren, die Wertigkeit von Zielen zu bestimmen und zu entscheiden, ob die Bedingungen für die Installation weiterer Schadsoftware geeignet sind.
Die ChatGPhish-Studie verdeutlicht erneut, dass KI-Technologien völlig neue Sicherheitsaspekte mit sich bringen. Mit der zunehmenden Integration von KI-Assistenten in Unternehmensprozesse wird der Schutz vor indirekten Eingabeaufforderungen, manipulierten Zusammenfassungen und dem Missbrauch vertrauensbasierter Schnittstellen zu einem immer wichtigeren Bestandteil der Cybersicherheitsstrategie.
